Se usó la API de Cloud Translation para traducir esta página.

Usar claves de encriptación administradas por el cliente

De forma predeterminada, Cloud Tasks encripta tus datos almacenados en reposo. Google Cloud administra esta encriptación predeterminada por ti sin ninguna acciones de tu parte.

Si tiene requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen tus datos, puedes usar claves de encriptación administradas por el cliente (CMEK) Cloud Tasks. Tu tarea y los datos asociados (cuerpo y encabezado) en están protegidos con una clave de encriptación a la que solo tú puedes acceder, que puedes controlar y administrar con Cloud Key Management Service (Cloud KMS).

Qué se protege con CMEK

Cuando habilitas CMEK en Cloud Tasks, lo haces para una región. Cuando se habilita, el cuerpo y el encabezado de las tareas creadas en esa región están protegidos con tu llave cuando está en reposo. Si se creó una tarea mientras CMEK estaba habilitada la clave queda inactiva (inhabilitando o borrando la clave, o inhabilitar CMEK), la tarea se encripta con tu clave, pero no se puede ejecutar.

Las tareas no están protegidas con CMEK en los siguientes casos:

Se creó la tarea antes de habilitar CMEK
La tarea no está en la región para la que se habilitaron las CMEK
La tarea se ve afectada por una limitación de compatibilidad

Limitaciones de compatibilidad

La integración de Cloud Tasks con CMEK no admite las lo siguiente:

Hay google-gax versiones anteriores 4.0.0: El paquete de NPM google-gax para Node.js tiene compatibilidad limitada en versiones anteriores a 4.0.0. Para estas versiones, CMEK solo es compatible con el región us-central1. Incluso si solo tienes tareas en esa región, es te recomendamos que actualices a la versión 4.0.0 o una posterior.
Servicio de cola de tareas integrado de App Engine: Tareas creadas con las El servicio de lista de tareas en cola integrado de App Engine no está protegido por CMEK, incluso si si están en una región para la que están habilitadas. Habilitar CMEK no impide la creación o la operación (por ejemplo, ejecución o eliminación) de estas tareas.
Listas de extracción: Si habilitas las CMEK, puedes crear y ejecutar tareas en la extracción en colas, pero estas tareas no están protegidas por CMEK. Las listas de extracción son poco comunes. Para verificar si tu cola es una lista de extracción, ejecuta el siguiente comando: gcloud CLI en tu terminal:
```
gcloud tasks queues describe QUEUE_NAME
```
Reemplaza QUEUE_NAME por el nombre de la cola.

Si el type en la lista es pull, tu cola es una lista de extracción. Si el elemento type aparece push, esta limitación no afecta las tareas de tu cola.
Enrutamiento a nivel de cola: cuando se habilita CMEK, no puedes aplicar enrutamiento a nivel de la cola. Y si el enrutamiento a nivel de la cola está habilitado, no puedes habilitar CMEK. Para comprobar si tienes el enrutamiento a nivel de cola habilitado, haz lo siguiente:
1. Ejecuta el siguiente comando de gcloud CLI en tu terminal:
```
gcloud tasks queues describe QUEUE_NAME
```
  Reemplaza QUEUE_NAME por el nombre de tu cola.
2. En el resultado, busca el campo httpTarget y comprueba si Se estableció uriOverride. Si se especifica un host, la cola tiene el enrutamiento a nivel de cola habilitado y no es compatible con CMEK. Quitar enrutamiento a nivel de cola, consulta Actualiza o quita el enrutamiento a nivel de la cola. Si el resultado no muestra uriOverride con un host especificado, tu no usa el enrutamiento a nivel de la cola.
Tarea TTL: Cuando CMEK está habilitada, no puedes configurar task_ttl para superior a 60 días. Y si tienes un task_ttl establecido en más de 60 días, no puedes habilitar CMEK.

Antes de comenzar

Antes de usar CMEK en Cloud Tasks, completa los siguientes pasos:

Habilita las APIs.
Console
1. Enable the Cloud KMS and Cloud Tasks APIs.
  Enable the APIs
gcloud
1. In the Google Cloud console, activate Cloud Shell.
  
  Activate Cloud Shell
  
  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
2. Configura tu proyecto predeterminado. Este debería ser el proyecto que contiene los recursos de Cloud Tasks con los que quieres proteger CMEK. Si necesitas ejecutar un comando en un proyecto diferente, como el que contiene tus recursos de Cloud KMS, en esta página incluir la marca --project en el comando de gcloud CLI te dirán qué proyecto especificar.
  gcloud config set project PROJECT_ID
  Reemplaza PROJECT_ID por el ID del proyecto. que contiene tus recursos de Cloud Tasks.
3. Actualiza los componentes de gcloud:
  gcloud components update
4. Habilita las APIs de Cloud KMS y Cloud Tasks para proyecto que almacenará tus claves de encriptación.
  gcloud services enable cloudkms.googleapis.com cloudtasks.googleapis.com
  --project=PROJECT_ID
  Reemplaza PROJECT_ID por el ID del proyecto. que almacenará tus claves de encriptación. Este podría ser el mismo proyecto que tus recursos de Cloud Tasks, sino para limitar el acceso a tus claves de Cloud KMS, considera Configura Cloud KMS en un proyecto independiente.
Cloud KMS produce Registros de auditoría de Cloud cuando las claves están habilitadas. inhabilitados o que los recursos de Cloud Tasks usen para encriptar y desencriptar de datos no estructurados. Asegúrate de que el registro está habilitado para la API de Cloud KMS en tu proyecto y que decidiste Qué permisos y roles específicos de registro se aplican a tu caso de uso. Para ver más información, consulta Información de registro de auditoría de Cloud KMS.
Obtener roles de Identity and Access Management
A fin de obtener los permisos que necesitas para usar CMEK con Cloud Tasks, solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:
- Habilita o inhabilita CMEK: roles/cloudtasks.admin
- Consulta la clave en uso: roles/cloudtasks.viewer
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea un llavero de claves y una clave de Cloud KMS globales

Si ya tienes un llavero de claves en la misma región que tu Cloud Tasks y quieres usar la clave y el llavero de claves, omitir esta sección. De lo contrario, usa estas instrucciones para crear tu Clave y llavero de claves de Cloud KMS

Crea un llavero de claves.
- El llavero de claves debe estar en la región que contiene la Recursos de Cloud Tasks que quieres proteger. Para ver más consulta Ubicaciones de Cloud KMS y Ubicaciones de Cloud Tasks.
- El llavero de claves y los recursos de Cloud Tasks protegidos con CMEK pueden estar en el mismo proyecto, pero para limitar el acceso a tu clave, considera configurar Cloud KMS en un proyecto separado
Crea una clave para un llavero de claves específico.

Recupera el ID de una clave de Cloud KMS

El ID de recurso de una clave de Cloud KMS es obligatorio cuando habilitas CMEK para Cloud Tasks.

Console

En la consola de Google Cloud, ve a la página Administración de claves y selecciona la pestaña Key inventory.
Ir a Inventario clave
Para la clave con el ID del recurso que quieres recuperar, haz clic en Actions.
Haz clic en Copiar nombre del recurso.

El ID de recurso de la clave se copió en el portapapeles. Su formato es similar al siguiente:
```
projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
```

gcloud

Enumera todas las claves de un llavero de claves determinado:
```
gcloud kms keys list --keyring=KEY_RING --location=LOCATION --project=PROJECT_ID
```
Reemplaza lo siguiente:
- KEY_RING: es el nombre del llavero de claves.
- LOCATION: Es la región del llavero de claves.
- PROJECT_ID: El ID del proyecto que contiene el llavero de claves
El resultado incluye el ID de cada clave. Por ejemplo:
```
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
```

Otorga al agente de servicio de Cloud Tasks acceso a la clave

Debes otorgar al agente de servicio de Cloud Tasks el Encriptador y desencriptador de CryptoKey de Cloud KMS Roles de Identity and Access Management (IAM), para que pueda acceder a Cloud KMS clave:

Console

En la consola de Google Cloud, ve a la página Identity and Access Management.

Ir a IAM
Selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google.
Busca la cuenta de servicio de Cloud Tasks escribiendo cloudtasks.iam.gserviceaccount.com en el filtro.

La cuenta de servicio de Cloud Tasks tiene el siguiente formato: service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com
Haz clic en el ícono de lápiz para Editar principal.
En el panel que se abre, haz clic en Agregar otro rol.
Busca y selecciona el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS.
Haz clic en Guardar.

gcloud

gcloud kms keys add-iam-policy-binding KEY_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Reemplaza lo siguiente:

KEY_ID: Es el ID de recurso completamente calificado para tu . Para obtener instrucciones sobre cómo encontrarlo, consulta Recupera el ID de una clave de Cloud KMS. No incluyas un el número de versión de la clave. Si incluyes un número de versión de clave, es posible que esto comando fallar.
PROJECT_NUMBER: el número de tu proyecto de Google Cloud. Para encontrar el número del proyecto, ve a la página de bienvenida de la consola de Google Cloud o ejecuta el siguiente comando:
```
PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"
```

Siempre que el agente de servicio tenga el roles/cloudkms.cryptoKeyEncrypterDecrypter una tarea en tu región con CMEK habilitadas puede encriptar y desencriptar sus datos usando la clave CMEK. Si revocas este rol o si inhabilitas o destruyes la CMEK clave, no se podrá acceder a ellos. En este documento, consulta Inhabilita Cloud KMS.

Habilita CMEK para Cloud Tasks

Puedes habilitar CMEK con la API o gcloud CLI. Para Cloud Tasks, CMEK está habilitado por región. No es habilitado por tareas individuales. Cuando una CMEK se habilita para una región determinada en Cloud Tasks: todas las tareas de esa región están protegidas por CMEK.

API

Puedes habilitar CMEK llamando al método Update CMEK config. El La API de Cloud Tasks proporciona el método Update CMEK config en REST y las APIs de RPC:

REST: Usa el método updateCmekConfig.
RPC: Usa el método UpdateCmekConfigRequest.

gcloud

Para habilitar CMEK con Google Cloud CLI, usa el siguiente comando:

gcloud tasks cmek-config update --location=LOCATION --kms-key-name=KEY_ID

Reemplaza lo siguiente:

LOCATION: Es la región de tu Recurso de Cloud Tasks
KEY_ID: Es el ID de recurso completamente calificado para tu . Para obtener instrucciones sobre cómo encontrarlo, consulta Recupera el ID de una clave de Cloud KMS. No incluir una clave número de versión. Si incluyes un número de versión de clave, es posible que el comando falle.

Para verificar que la clave se habilitó correctamente, sigue las instrucciones de la sección Cómo identificar la clave en uso.

Habilitar para tareas preexistentes

CMEK no protege las tareas que se crearon antes de habilitar CMEK para Cloud Tasks. Para proteger tareas preexistentes con CMEK, sigue estos pasos:

Habilita CMEK (consulta la sección sobre habilitación de CMEK).
Reemplaza las tareas preexistentes. Existen dos formas principales de hacerlo. El la mejor manera de hacerlo depende de lo que sea importante para ti:
- Ejecución continua: Garantiza la ejecución continua (“al menos una vez” puedes volver a crear la tarea y, luego, borrar después de verificar que la nueva tarea funciona como se esperaba. Esto puede provocar ejecuciones duplicadas, ya que tanto la tarea anterior como la nueva pueden ejecutarse antes de que borrar la tarea anterior.
- Prevención de duplicados: Para evitar ejecuciones duplicadas ("como máximo una vez"). (entrega), puedes borrar la tarea anterior y volver a crearla. Esto puede como resultado de la pérdida de ejecuciones debido al tiempo transcurrido entre la eliminación del la tarea anterior y crear la nueva.

Identifica la clave en uso

Para identificar la clave CMEK en uso para tus recursos de Cloud Tasks, Ejecuta el siguiente comando de gcloud CLI en tu terminal:

gcloud tasks cmek-config describe --location=LOCATION

Reemplaza LOCATION por la región de tu Recursos de Cloud Tasks.

Si no hay ningún resultado, CMEK no está configurada para la ubicación especificada.

Inhabilita CMEK para Cloud Tasks

Puedes inhabilitar CMEK con la API o gcloud CLI. Para Cloud Tasks, CMEK está inhabilitado por región. No lo inhabilita tareas individuales. Cuando CMEK se inhabilita para una región determinada en Cloud Tasks: las tareas de esa región no están protegidas por CMEK.

Inhabilitar CMEK afectará a las tareas creadas en el futuro, no a las creadas en el anterior:

Tareas nuevas: no están protegidas por CMEK.
Tareas preexistentes: Las tareas que se crearon mientras la CMEK estaba habilitada permanecen encriptado y seguirá ejecutándose mientras la clave permanezca activa.

API

Puedes inhabilitar CMEK llamando al método Update CMEK config y borrando la clave de Cloud KMS reemplazándola por una cadena vacía. El La API de Cloud Tasks proporciona el método Update CMEK config en REST y las APIs de RPC:

REST: Usa el método updateCmekConfig.
RPC: Usa el método UpdateCmekConfigRequest.

gcloud

Para inhabilitar CMEK con Google Cloud CLI, usa el siguiente comando:

gcloud tasks cmek-config update --location=LOCATION --clear-kms-key

Reemplaza lo siguiente:

LOCATION: Es la región de tu recurso de Cloud Tasks.

Quita Cloud KMS

Si quieres revocar el acceso a los datos de tus tareas, puedes quitar Cloud KMS. Existen tres maneras de hacerlo:

Inhabilita la cuenta de servicio administrada por el cliente. clave de encriptación. Inhabilitar una CMEK suspende el acceso a todos los datos protegidos por la versión de clave mientras esta está inhabilitada. No puedes acceder a tareas ni crearlas con una clave que está inhabilitada. Se intentará ejecutar una tarea protegida con CMEK mientras Si la clave está inhabilitada, se mostrará un error UNKNOWN en Cloud Logging. Puedes vuelve a habilitar la clave más adelante si lo deseas. Cuando inhabilitas una clave de encriptación administrada por el cliente, este proceso puede tardar hasta 5 minutos. para que se aplique el cambio.
Destruye la cuenta de servicio administrada por el cliente. clave de encriptación. Si destruyes una clave CMEK, se suspende de forma permanente el acceso a todos los datos protegida por esa versión de clave. No puedes acceder ni crear tareas con una clave que se destruyeron. Si se creó una tarea mientras CMEK estaba habilitada y la clave está y, luego, se destruye la tarea, se encripta con tu clave, pero no se puede ejecutar. Si la tarea intenta ejecutarse, Cloud Logging registra un error UNKNOWN. Cuándo destruyes una clave de encriptación administrada por el cliente, puede tardar hasta 5 minutos el cambio que se debe aplicar.
Revocar el cloudkms.cryptoKeyEncrypterDecrypterde IAM desde Agente de servicio de Cloud Tasks. Esto afecta a todas las tareas del Proyecto de Google Cloud que admite la encriptación con CMEK. No puedes crear tareas integradas con CMEK nuevas o visualizar cualquier recurso encriptado con CMEK.

Aunque ninguna de estas operaciones garantiza revocación instantánea del acceso, Los cambios de IAM suelen aplicarse más rápido. Para obtener más información, consulta Coherencia de recursos de Cloud KMS Propagación de cambios de acceso.

Precios

Esta integración no genera costos adicionales más allá de las operaciones de clave. que se facturan a tu proyecto de Google Cloud. Para ver los precios actuales consulta los precios de Cloud KMS.